Таже проблема.Кстати с этого компа всё и началось.Логи прикрепляю.С уважением,Максим
Таже проблема.Кстати с этого компа всё и началось.Логи прикрепляю.С уважением,Максим
Уважаемый(ая) Rutger111, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\documents and settings\all users\iexplore.exe',''); QuarantineFile('c:\documents and settings\localservice.nt authority\application data\wsnpoem\audio.dll',''); QuarantineFile('c:\documents and settings\networkservice.nt authority\application data\wsnpoem\audio.dll',''); QuarantineFile('c:\WINDOWS\system32\wsnpoem\audio(2).dll',''); QuarantineFile('c:\WINDOWS\system32\wsnpoem\audio(3).dll',''); QuarantineFile('c:\WINDOWS\system32\wsnpoem\audio.dll',''); QuarantineFile('c:\WINDOWS\system32\wsnpoem\audio.dll.cla',''); QuarantineFile('c:\WINDOWS\system32\wsnpoem\video.dll',''); DeleteFile('e:\Док\avz4\Infected\2011-11-27\avz00001.dta'); DeleteFile('e:\Док\avz4\Infected\2011-11-27\avz00002.dta'); DeleteFile('c:\documents and settings\all users\iexplore.exe'); DeleteFile('c:\documents and settings\localservice.nt authority\application data\wsnpoem\audio.dll'); DeleteFile('c:\documents and settings\networkservice.nt authority\application data\wsnpoem\audio.dll'); DeleteFile('c:\WINDOWS\system32\wsnpoem\audio(2).dll'); DeleteFile('c:\WINDOWS\system32\wsnpoem\audio(3).dll'); DeleteFile('c:\WINDOWS\system32\wsnpoem\audio.dll'); DeleteFile('c:\WINDOWS\system32\wsnpoem\audio.dll.cla'); DeleteFile('c:\WINDOWS\system32\wsnpoem\video.dll'); RegKeyParamDel('HKEY_USERS','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer','{02FFAC45-0B10-5633-4296-1801F1A36678}'); RegKeyParamDel('HKEY_USERS','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer','{F710FA10-2031-3106-8872-93A2B5C5C620}'); RegKeyParamDel('HKEY_USERS','S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer','{02FFAC45-0B10-5633-4296-1801F1A36678}'); RegKeyParamDel('HKEY_USERS','S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer','{F710FA10-2031-3106-8872-93A2B5C5C620}'); RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network','UID'); RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings','bf'); RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings','bk'); RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings','iu'); RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings','mu'); RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\block_reader','DisplayName'); RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RegKeyDel('HKCR','CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC}'); RegKeyDel('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}'); RegKeyDel('HKEY_USERS','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}'); RegKeyDel('HKEY_USERS','S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}'); RegKeyDel('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}'); RegKeyDel('HKEY_USERS','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}'); RegKeyDel('HKEY_USERS','S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}'); RegKeyDel('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); RegKeyDel('HKEY_USERS','.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7}'); RegKeyDel('HKEY_USERS','S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7}'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'HungAppTimeout', 5000); RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'WaitToKillAppTimeout', 20000); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); DeleteFileMask('c:\documents and settings\localservice.nt authority\application data\wsnpoem','*',true); DeleteFileMask('c:\documents and settings\networkservice.nt authority\application data\wsnpoem','*',true); DeleteFileMask('c:\WINDOWS\system32\wsnpoem','*',true); DeleteDirectory('c:\documents and settings\localservice.nt authority\application data\wsnpoem'); DeleteDirectory('c:\documents and settings\networkservice.nt authority\application data\wsnpoem'); DeleteDirectory('c:\WINDOWS\system32\wsnpoem'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
+ лог полного сканирования mbam
Извините за задержку,не был там где этот комп стоит.сегодня съездил.Результаты прикладываю.
Карантин тоже отправил
Файл сохранён как 111130_122823_quarantine_4ed6216787028.zip
Размер файла 24091676
MD5 4178a29e67d2c646e32a696bfc9693d1
А вот еще посмотрите съемный диск трансенд на 250 Гб,тоже чтото обнаружилось.
Жду ответа
Отключите восстановление системы.
Удалите в MBAM все, кроме:
Код:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. h:\Проги\coreldraw13_rus\CRACK\cdrsuitkg.exe (RiskWare.Tool.CK) -> No action taken. h:\Проги\скринсейвер\заставка-аквариум\patch.exe (RiskWare.Tool.CK) -> No action taken.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
подключите внешний винчестер
Выполните скрипт в АВЗ -
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196726.exe',''); QuarantineFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196727.exe',''); QuarantineFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196728.exe',''); QuarantineFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196729.exe',''); QuarantineFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196730.exe',''); DeleteFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196726.exe'); DeleteFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196727.exe'); DeleteFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196728.exe'); DeleteFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196729.exe'); DeleteFile('h:\system volume information\_restore{8fa00ae5-ac11-49f8-b544-a935b326ebd2}\RP906\A0196730.exe'); RegKeyDel('HKLM','SOFTWARE\MyCentria'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'HungAppTimeout', 5000); RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'WaitToKillAppTimeout', 20000); RegKeyStrParamWrite('HKCU','SOFTWARE\Microsoft\Internet Explorer\Main','Default_Page_URL',''); RegKeyStrParamWrite('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced','Start_ShowMyDocs',''); RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Security Center','AntiVirusDisableNotify',''); RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Security Center','FirewallDisableNotify',''); RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Security Center','UpdatesDisableNotify',''); DeleteFileMask('c:\program files\mycentria','*',true); DeleteFileMask('c:\program files\mycentria\Firefox','*',true); DeleteFileMask('c:\program files\mycentria\InfoBar','*',true); DeleteDirectory('c:\program files\mycentria'); DeleteDirectory('c:\program files\mycentria\Firefox'); DeleteDirectory('c:\program files\mycentria\InfoBar'); ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 2, 2, true); RebootWindows(true); end.
- Сделайте повторные логи hijackthis.log и MBAM.
+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
...
Последний раз редактировалось Rutger111; 01.12.2011 в 16:53.
всё сделал.вот логи.только вот интернета нет там где этот комп находится(сотовые сети тоже не работают)по-этому обновить базы естественно не удалось.и браузеры....-я запустил(два),но без подключения.
Файл сохранён как 111202_124318_virusinfo_files_ROYAL_4ed8c7e640c05. zip
Размер файла 5775681
MD5 a40499028bb8c25c602db0697ea024cf
это тест на подозрительные файлы.жду ответа
Что с проблемами?
Paula rhei.
Поддержать проект можно тут
вроде все стало работать штатно,но.....Не знаю с чем это связано.дело в следующем:пытаюсь изменить один параметр,после чего комп при загрузке винды показывает синий экран с иероглифами и снова перегружается,и так бесконечно.А параметр такой-в свойствах системы,вкладка-дополнительно,раздел быстродействие-кнопка параметры,далее вкладка-дополнительно,там раздел-использование памяти.Вот тут ставлю галку на "оптимизировать работу системного кэша".Далее происходит,то что описано выше.С чем это связано?
это пополнение базы AVZ (облегчает проверку логов в будущем), ответ по этому карантину можете посмотреть здесь.
Ясно.А что с этим вопросом?вроде все стало работать штатно,но.....Не знаю с чем это связано.дело в следующем:пытаюсь изменить один параметр,после чего комп при загрузке винды показывает синий экран с иероглифами и снова перегружается,и так бесконечно.А параметр такой-в свойствах системы,вкладка-дополнительно,раздел быстродействие-кнопка параметры,далее вкладка-дополнительно,там раздел-использование памяти.Вот тут ставлю галку на "оптимизировать работу системного кэша".Далее происходит,то что описано выше.С чем это связано?
Не надо переключать галочку на кэш. Оставьте для программ.
Paula rhei.
Поддержать проект можно тут
Уважаемый(ая) Rutger111, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.